Güvenlik araştırmacıları, tehdit aktörlerinin üç bozuk tarayıcı paketi, Firefox-Patch-bin, Librewolf-Fix-Bin ve Zen-Browser-Patched-Bin’i Arch Kullanıcı Deposu’na (AUR) yüklediklerini keşfetti.
Bu paketler, popüler Firefox tabanlı tarayıcıların iyi huylu çatalları gibi görünüyordu, ancak bir komut dosyasını kötü amaçlı bir GitHub deposundan çekip yürüterek gizlice bir uzaktan erişim Truva atı (sıçan) yükledi.
Arch Linux ekibi, ilk yüklemelerinden sonraki 48 saat içinde rahatsız edici paketleri kaldırdı, ancak bilinmeyen sayıda sistemden ödün verilmeden önce değil.
Key Takeaways
1. Fake Firefox AUR packages downloaded and executed a Remote Access Trojan from GitHub.
2. The RAT installed a systemd service creating encrypted reverse shells on port 443.
3. Arch Linux removed the packages and urged users to uninstall and check for rat-agent.service.
Bu paketlerden herhangi birini yükleyen kullanıcıların bütünlüğü doğrulamaları, kimlik bilgilerini döndürmesi ve uzlaşma göstergeleri için adli kontroller gerçekleştirmeleri istenir.
Keşfedilen kötü niyetli AUR paketleri
16 Temmuz’da son saat 20:00 UTC+2’de, üç lekeli paketten ilki olan Firefox-Patch-bin, AUR’a bakıcı tutamağı altına yüklendi.
Bu Packbuild, https://raw.githubusercontent.com/dlagents/rat-scripts/main/install.sh adresinden bir kabuk komut dosyası indiren değiştirilmiş bir kurulum () işlevi içeriyordu ve kök ayrıcalıklarıyla yürüttü. Kurulum sonrası kanca şunları içerir:
Birkaç saat sonra, iki kardeş paketi-Librewolf-Fix-Bin ve Zen tarayıcı-patched-bin-ortaya çıktı, her biri aynı sıçan kurulum mantığını gömdü, ancak Firefox’un ana akım gizlilik odaklı çatalları için düzeltmeler olarak maskelendi.
Topluluk, anormal yapı komut dosyalarında otomatik bir uyarı tetikleyerek, indirme sayımlarının alışılmadık bir şekilde arttıktan sonra bu yüklemeleri hızla işaretledi.
İlk adli analiz, indirilen install.sh komut dosyasının /etc/systemd/system/rat-agent.service adresine bir Systemd birimi dosyası yerleştirerek ve hemen çağırdığını gösterdi:
Yürütme üzerine, sıçan-ajan, TCP bağlantı noktasında 443’te ters bir kabuk açtı, trafiği gizlenmiş bir WebSocket tüneli aracılığıyla vekaletname açtı.
İkili, ortak paketleme teknikleri kullandı, hata ayıklama sembollerini soyuyor ve komut ve kontrol (C2) uç noktaları içeren yapılandırma bloğunu şifrelemek için AES-128-CBC kullandı.
Uzlaşma göstergeleri, rat-dns.example.com’a beklenmedik giden bağlantıları ve ~/.cache/rat/ajan.log’un oluşturulmasını içeriyordu.
Buna göre ADvisory, Arch Linux güvenlik ekibi bakımcının ayrıcalıklarını iptal etti ve 18 Temmuz’a kadar AUR’dan kötü niyetli girişleri 18:00 UTC+2’de temizledi.
Kullanıcıları Pacman -Q Firefox-Patch -B ve ilgili isimler aracılığıyla enfekte olmuş paketleri aramaya, bunları kaldırmaya ve kaldırma için /etc/systemd/system/rat-agent.service’i incelemeye çağıran bir güvenlik danışma belgesi verildi.
Meydan okulu paketlerden herhangi birini kurduklarına inanan kullanıcılar, bunları derhal kaldırmalı ve sistemlerini yukarıda belirtilen kalıcılık eserleri için denetlemelidir.
AUR başvuruları üzerindeki PGP imzalarının doğrulanması, güvenlik açığı taramaları için Arch-Audit’ten yararlanma ve AUR yapılarının izole kapsayıcılarla sınırlandırılması gibi güvenlik en iyi uygulamaları gelecekteki tedarik zinciri tehditlerini azaltabilir.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi birini deneyin. Şimdi